男にフィッシングキットを渡せば、たまに当たってしまうかもしれない。そこにAIにフィッシングを教えれば、状況は一変するだろう。KnowBe4の最新のフィッシング傾向レポートが正確なら、その通りだ。

サイバーセキュリティ／フィッシング啓発の事業者である同社は木曜日に、フィッシング・スレット・トレンドの第7版となるレポートを公開したが、広く普及しているAIのおかげで、フィッシャーたちのインターネット上の勢力がこれまで以上に多様な方法で、しかもこれまで以上の頻度でAIに切り替えつつあるように見える。

同レポートによれば、過去6か月でKnowBe4の脅威研究者が把握したフィッシングキャンペーンのうち、約86%が何らかの形でAIの使用を含んでいたという。これは過去2年の間にかけての、緩やかで着実な増加でもある。2024年にはフィッシングキャンペーンの80%がAIを利用し、昨年は84%だったことから、足踏みしていた層がより広い到達範囲を得るために、ますますその技術を取り入れていることが示唆される。 

この数字だけでも憂慮すべきものだが、KnowBe4が指摘する最大の問題は「AIがどのように使われているか」だ。文章がよく練られ、高度にパーソナライズされた、AIが生成したフィッシングメッセージはそれ自体ですでに十分に厄介だ。しかしAIは、キャンペーンの偵察や情報収集の段階も自動化し、フィッシングのプロセスを加速させ、攻撃者に対して、被害者の信頼をより確実に得るために複数の攻撃ベクトルへ切り替える時間をさらに与えているのだ。 

返却形式: {"translated": "翻訳されたHTML"}

レポートはフィッシング攻撃の全体に占める割合としてベクターを集計してはいないものの、カレンダー招待を含むフィッシング攻撃が49％増加していること、さらに、Microsoft Teamsメッセージを用いて、資格情報を奪うためにITサポート担当者のような同僚になりすましている攻撃が41％増えていることを指摘しています。

• AI搭載のサイバー攻撃キットは「時間の問題だ」とGoogle幹部が警告
• DarculaはDIYフィッシングキットにAIを追加して、“吸血鬼志望”の被害者から血を吸い上げやすくする
• 犯罪者たちはClaudeを称賛——ランサムウェアの設置や偽のIT専門性を植え付けるために
• 犯罪者が電力会社のMicrosoftアカウントを侵害し、600件のフィッシングメールを送信

賢いマルチベクターフィッシングの作戦は、依然としてしばしば電子メールから始まります。そして、レポートによれば、その大きな領域の一つがAIによってフィッシングの可能性が広がっているところです。自動化された偵察によって攻撃者は大量の情報をふるいにかけ、標的データを抽出し、それをAIが生成したメールの“餌”に投入できます。そうした多形（ポリモーフィック）なフィッシングキャンペーンは、ベースとなるテンプレートを取り込み、そこに“味付け”をして、個々の相手ごとに固有のものに仕立てます。そうすれば、スペルミスや不適切な文法で思考力のある人をふるいにかける、典型的なものよりもはるかに見つけにくいフィッシングメッセージが出来上がります。 

ただし、レポートのデータは、メールは現代のフィッシングキャンペーンの始まりにすぎないことを示唆しています。カレンダー招待の増加や悪意あるTeamsメッセージは、攻撃の2段階目であることが多いためです。 

ITチームはフィッシング攻撃で最もよくなりすまされる集団の一つであるため、フィッシングメールの後に、ヘルプデスクの人間だと名乗ってパスワードをリセットするためのリンクをクリックするよう要求したり、DocuSign経由で新しいポリシーを読んで署名するよう迫ったりするTeamsメッセージが続く場面は、容易に想像できます。どちらの方法でも最終的には攻撃者に資格情報、あるいはリモートアクセスが渡り、攻撃者が欲しかったものが手に入ります。

Microsoftによると、AIの“餌”を用いるフィッシングキャンペーンは、人が手作りしたものよりも4.5倍効果が高いとのことです。一方、FBIは米国のサイバー犯罪による損失が昨年の時点で過去最高の208億7,000万ドルに達したと述べており、フィッシングは最も多い申告（不満）で、AI関連の詐欺がその総額の約8億9,300万ドルを占めたということです。®

このほか

• AI
• サイバーセキュリティ
• KnowBe4

これらに似たもの